IT审计-项目管理篇.docxVIP

IT审计－项目管理篇中国系统分析师/中国系统分析员顾问团高级顾问　　张华（来自CSAI.cn） 　在进入本文之前，针对目前对IT审计的概念，有必要做一些澄清。采用计算机作为审计手段就叫做计算机审计，这样容易与IT审计相混淆。前者的计算机系统是手段，后者的计算机系统是被审计对象。IT审计关注的对象是信息系统及其整个生命周期。当然不同的信息系统生命模型对应的IT审计流程也就自然不一样，因此我们在实施IT审计的时候切忌千篇一律。　目前项目管理越来越受到IT界的重视，软件项目管理的质量在很大程度上影响着信息系统开发的绩效，从软件项目管理角度进行有效地审计，成为IT审计中一大亮点。本文不想对软件项目管理与IT审计的关系做太多论述，而是以列表的方式列举实施软件项目管理应注意的审计要点，供项目管理者和IT审计师们参考，一来项目经理可以通过本列表对自身的项目管理存在的缺陷做一些分析，二来IT审计师们可以直接利用本列表生成有关软件项目管理的审计报告的主要部分。该列表基本包括项目管理（PMI体系）的绝大多数实施点，适用于不同复杂度和规模的项目，IT审计师们可以自行根据实际情况有所增删。 软件项目管理审计列表 1.0 软件项目管理审计目的　项目管理审计的目的应该达到下列要求：　项目具有清晰的目标、职责划分和归属　成本和收益得到清晰的定义和监控 　项目在项目计划的范围、时间和预算限制内得以成功地完成 2.0 软件项目管理审计风险　主要的风险在于：　项目范围和计划与组织的需求不一致　存在时间延迟　成本超支　资源不足以满足项目目标　人员组织结构不合理　项目未能达到目标 3.0 安全和控制　3.1 项目特征　项目管理流程是否包括计划、组织、监控等内容　项目是否被划分为子流程/阶段　子流程/阶段是有明确的定义　3.2 项目管理流程中的质量　在组织中哪些流程是通过成本、资源、时间等利用来确保项目高效的进行的　组织中是否具有保证项目质量的行动指南和流程 3.3 战略流程　顾客和供应商是否需要清晰地知道项目相关的流程是否满足他们的需求　项目是否作为一个计划好的和独立的流程集合被执行　在组织、项目团队、顾客、供应商间有无明确的权责划分　项目进度评估体系是否存在，如果存在，如何评估　质量属性是否存在于项目管理流程中（方法、文档、预防措施、复核、跟踪、培训等）　是否存在支持项目目标的组织结构　项目决定是否基于数据和事实上的信息　是否指派一有责任心、有威信的项目经理负责项目　在项目的流程改进中是否存在一个收集和分析相关信息的机制　3.4 具有关联性的管理流程（时间、资源、顺序等有依赖关系的流程）　3.4.1 概要　谁负责管理项目流程中具有关联性的流程的　3.4.2 项目初始化和项目计划展开　是否存在良好的项目和质量计划，如果有，它是否符合时宜，谁负责管理　项目计划是否设计为可以跟踪（度量、评估），如果否，是否存在一些非正式的跟踪方法　项目的目标是否满足合同的需求，如果是，是否进行了合同的复核　与项目相关的记录是否得到较好的管理　所有复核和进度评估中包括项目计划吗？如果是，复核和评估中还包括预防和矫正的界限吗　存在什么样的项目接口（联络体制、报告制度、组织功能）？它们是否定义项目计划，它们控制项目计划 3.4.3 互动管理　在项目的组织之上，是否存在对项目实施进行互动的项目团队，诸如项目风险小组、项目效率评估团体、项目沟通团体等　3.4.4 项目变更　项目中是否包括变更管理流程/方法　项目变更管理流程中是否包括书面化的控制机制　3.4.5 项目结束　项目结束时，有关项目的所有记录是否保存一段时间　项目结束时，是否对项目结束的相关情况进行复核　3.5 与范围相关的流程　3.5.1 概要　客户的需求是如何映射到具体活动中去的　具体活动与项目目标的关联性如何　3.5.2 范围展开和控制　项目范围是否得以展开　存在项目范围展开和控制的相应方法和解决方案吗　3.5.3 活动定义（任务、工作包、工作分解结构WBS）　已经定义的所有的活动是否有对应的负责人和执行者　活动的输出是否可以度量　3.5.4 活动控制　活动是否明确定义并按项目计划进行展开　对活动的复核是否有相应的计划　已定义活动的相关变化是否在项目计划中得以更新　3.6 与时间相关的管理流程　3.6.1 概要　是否存在一个与时间相关的管理流程来确定活动间的相关性（时间）和估算项目时间　是否有一个清晰的时间表　3.6.2 活动依赖性计划　是否定义了项目活动间的逻辑顺序、关联和依赖等关系（用网络图）　3.6.3 时间估算　谁为项目中活动的时间估算负责　活动时间估算是否与项目资源相关联　时间分配是否包括相关活动的准备时间　3.6.4 进度开发　项目进度表格式如何　关键事件、里程碑、进度评估、关键活动是否在进度计划中标识清楚　3.6.5